Aujourd'hui, on a été attaqués... par des pirates russes ;-)

Rédigé par Joseph MICACCIA Aucun commentaire
Aujourd'hui, on a été attaqués par des pirates russes ;-)

Je fais régulièrement des mails de sensibilisation pour les salariés de l'entreprise. Et aussi, j'ai rédigé un document de référence pour les informaticiens, contenant des fiches réflexes en cas d'attaque, une par situation. Pour vérifier que les consignes sont respectées, j'ai organisé une (fausse) cyberattaque, à la demande du Directeur informatique et sous son contrôle.

ETHICAL HACKING

Pour cela, j'ai développé un minuscule logiciel (quelques Kilo-octets), très puissant et qui passe sous les radars, à priori. Car il faut se mettre à la place de pirates pour bien protéger l'entreprise.

L'attaque semblait provenir d'un groupe de pirates russes, mondialement connu : FancyBear. Notre entreprise est très bien protégée, comme en attestent les nombreux pentests. Cependant, l'administrateur a eu des sueurs froides en commençant sa journée, lorsqu'il a constaté que l'infrastructure de virtualisation (cœur de l'informatique) était hors de contrôle. Mais il a appliqué mes consignes et a actionné le bouton d'urgence que j'avais prévu à cet effet. Finalement, tout le monde a été soulagé d'apprendre que c'était un exercice, même les informaticiens les plus chevronnés, qui ont pu apprécier la qualité du logiciel, très réaliste... et inoffensif !


Ce serait trop long de tout détailler ici, et imprudent surtout... à l'égard des vrais pirates, qui lisent peut-être ces lignes. Cependant, je mets quand même une fiche réflexe, celle pour les utilisateurs, car cet exercice s'adressait aussi à eux. En effet, le même exercice était composé de deux parties : une partie pour l'équipe informatique (plusieurs fiches réflexes) et une partie pour les utilisateurs (une seule fiche réflexe).

A l'apparition du message pirate, les salariés devaient appliquer les consignes suivantes, conformes ANSSI :
  1. Je n'éteins pas l'ordinateur (sinon effacement de la mémoire... qui contient des éléments utiles pour l'analyse forensique).
  2. Je débranche la prise réseau et de désactive le WIFI.
  3. J'appelle la DreamTeam informatique.
Et dans cet ordre, bien sûr ;-)

On a analysé les temps de réaction de chacun : 
  • La plupart des utilisateurs ont bien réagi : ils ont eu le tiercé, même si pas toujours dans le bon ordre.
  • Mais plusieurs personnes ont vu le message pirate, l'ont regardé longuement (certains pendant plusieurs minutes), et l'ont fermé... en mode "ni vu ni connu". Ils n'ont même pas  alerté la cellule CyberProtection !

Alors, on n'a pas fini de faire des exercices cyber... surtout que n'importe quelle entreprise est "piratable", quelles que soient les protections, puisque la sécurité 100% n'existe pas, comme démontré chaque jour.

Nota Bene : Je dois préciser que les informaticiens russes ne sont pas tous du côté obscur de la force. Bon nombre d'entre eux font d'excellents outils, des logiciels très performants, simples d'utilisation, efficaces. Ils ont le souci du travail bien fait, très soigné : leur code source est un régal.


Joseph MICACCIA, RSSI & concepteur de SENTINELLA CyberProtection
Expert réseaux certifié & hacker éthique 
Initialement conçu pour détecter le trafic informatique suspect, SENTINELLA est un outil de 
sécurité informatique permettant aussi l’identification des preuves lors d'analyses forensiques.

Les commentaires sont fermés.

Cyber Protection